Key Takeaways
NIS2 ist in Deutschland seit dem 6. Dezember 2025 ohne Übergangsfrist verbindliches Recht – dennoch sind nur 16 % der betroffenen Unternehmen zuversichtlich, dass sie die Anforderungen erfüllen, und rund 29.500 Unternehmen fallen mittlerweile unter die Vorschriften.
Die beiden Kriterien, die darüber entscheiden, ob du unter die Regelung fällst, sind einfach: mehr als 50 Mitarbeiter oder ein Jahresumsatz von über 10 Mio. €, und Tätigkeit in einer der 18 betroffenen Branchen – ein Selbstcheck, der weniger als zwei Minuten dauert.
Die sechs NIS2-Maßnahmen, die für KMU ohne IT-Personal am wichtigsten sind, umfassen Risikomanagement, MFA und Zugriffskontrolle, Patch-Management, Meldung von Vorfällen, Sicherheit in der Lieferkette sowie Backup und Wiederherstellung – die meisten Unternehmen verfügen bereits über die nötigen Tools, es fehlt ihnen lediglich an konsequenter Umsetzung.
NIS2 führt eine persönliche Haftung für Gründer und Geschäftsführer ein – Sicherheitsentscheidungen müssen auf Führungsebene formell genehmigt, dokumentiert und überwacht werden, sodass es unmöglich ist, die Verantwortung einfach weiterzudelegieren.
Für KMU ohne eigenes IT-Team ist Automatisierung der realistische Weg zur Compliance: Plattformen wie deeploi setzen Geräteverschlüsselung, Patch-Management, Zugriffskontrolle und Offboarding automatisch durch – und machen Compliance so vom manuellen Abarbeiten einer Checkliste zu einem Nebenprodukt des täglichen IT-Betriebs.
NIS2 ist in Deutschland am 6. Dezember 2025 rechtskräftig in Kraft getreten. Es gab keine Übergangsfrist. Alle Anforderungen – vom Risikomanagement über die Meldung von Vorfällen bis hin zur Haftung der Geschäftsführung – galten vom ersten Tag an (NISD2.eu). Rund 29.500 Unternehmen in Deutschland unterliegen nun diesen erweiterten Cybersicherheitspflichten – ein Anstieg gegenüber den zuvor regulierten rund 4.500 Unternehmen (Global Policy Watch). Und dennoch sind nur 16 % der konformitätspflichtigen Unternehmen zuversichtlich, dass sie die Anforderungen tatsächlich erfüllt haben (CyberSmart).
Wenn du Gründer, Personalverantwortlicher oder Büroleiter bist und plötzlich für die IT in einem wachsenden Unternehmen verantwortlich bist, ist dieser Artikel deine praktische Checkliste. Wir führen dich nicht durch den gesamten Gesetzestext. Stattdessen helfen wir dir herauszufinden, ob NIS2 für dich gilt, welche Maßnahmen für deine Situation tatsächlich wichtig sind und wie du noch in diesem Quartal erste Fortschritte erzielen kannst.
Gilt NIS2 tatsächlich für dein Unternehmen?
Bevor du irgendetwas anderes tust, beantworte diese Frage. NIS2 gilt nicht für jedes Unternehmen. Es richtet sich an Unternehmen, die zwei Kriterien gleichzeitig erfüllen: eine Größenschwelle und eine Branchenschwelle.
Die Größengrenze ist einfach. Dein Unternehmen fällt unter die Regelung, wenn es 50 oder mehr Mitarbeiter hat oder einen Jahresumsatz von 10 Millionen Euro oder mehr erzielt. Erfüllst du eine der beiden Bedingungen, hast du den Größentest bestanden.
Bei der Branchenschwelle wird es spezifischer. NIS2 deckt 18 Sektoren ab, die auf zwei Anhänge verteilt sind. Anhang I („besonders kritisch") umfasst Energie, Verkehr, Bankwesen, Gesundheitswesen, Wasserversorgung und digitale Infrastruktur. Anhang II („sonstige kritische Sektoren") deckt Postdienste, Abfallwirtschaft, Lebensmittelproduktion, verarbeitendes Gewerbe und digitale Anbieter wie Cloud-Dienste und Online-Marktplätze ab.
Hier ist eine kurze Selbsteinschätzung, die du in weniger als zwei Minuten durchführen kannst:
- Hat dein Unternehmen mehr als 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Mio. €?
- Ist dein Unternehmen in einem der 18 erfassten Sektoren tätig?
- Wenn du beide Fragen mit „Ja" beantwortest: Du fällst in den Anwendungsbereich.
Ein wichtiger Hinweis: Einige Sektoren sind von den Größenkriterien vollständig ausgenommen. Wenn dein Unternehmen DNS-Dienste oder Vertrauensdienste anbietet oder Top-Level-Domain-Registrien verwaltet, gilt NIS2 unabhängig von Mitarbeiterzahl oder Umsatz. Im Zweifelsfall solltest du die offiziellen Leitlinien des BSI oder einen qualifizierten Rechtsberater konsultieren, um deinen Status zu klären. Um den breiteren Kontext von IT-Compliance-Rahmenwerken zu verstehen, ist es hilfreich zu wissen, wie sich NIS2 zu anderen Vorschriften verhält, die dein Unternehmen möglicherweise bereits befolgt.
Was verlangt NIS2 konkret von dir?
Artikel 21 von NIS2 listet elf Kategorien von Sicherheitsmaßnahmen auf. Nicht alle sind für ein KMU ohne eigenes Sicherheitsteam gleich wichtig. Hier sind die sechs, die für deine Situation am bedeutsamsten sind – jeweils mit einer verständlichen Erklärung.
Grundlagen des Risikomanagements und der Informationssicherheit
NIS2 verlangt von dir, Cybersicherheitsrisiken systematisch zu identifizieren, zu analysieren und zu managen. In der Praxis bedeutet das, eine Risikobewertung deiner IT-Umgebung durchzuführen, die Ergebnisse zu dokumentieren und sie regelmäßig zu überprüfen. Du musst kein formelles ISMS (Informationssicherheits-Managementsystem) von Grund auf aufbauen, aber du brauchst eine schriftliche Dokumentation darüber, welche Risiken du identifiziert hast und wie du sie adressierst. Wenn du dich damit beschäftigst, wie du deine IT auf ISO 27001 vorbereiten kannst, wirst du feststellen, dass sich ein Großteil dieser Vorarbeit mit den NIS2-Anforderungen überschneidet.
Zugriffskontrolle und Multi-Faktor-Authentifizierung
Jedes Benutzerkonto in deinem Unternehmen benötigt angemessene Zugriffsbeschränkungen. NIS2 erwartet von dir, dass du das Prinzip der geringsten Berechtigungen durchsetzt (das heißt, Mitarbeiter erhalten nur Zugriff auf das, was sie für ihre Rolle benötigen) und auf kritischen Systemen eine Multi-Faktor-Authentifizierung – kurz MFA – implementierst. Unter KMU mit 26 bis 100 Mitarbeitern haben nur 34 % MFA implementiert, obwohl dessen Aktivierung über 99,9 % der Angriffe auf Konten blockiert (CIT Solutions). Das ist eine der wirkungsvollsten und zugleich am wenigsten aufwendigen Kontrollmaßnahmen, die du einsetzen kannst.
Patch-Management
Software auf dem neuesten Stand zu halten ist unter NIS2 keine Option. Du musst über einen Prozess verfügen, mit dem Sicherheitspatches zeitnah identifiziert und eingespielt werden. Für die meisten KMU besteht die Herausforderung nicht darin, zu wissen, dass Patches wichtig sind, sondern darin, Updates konsequent auf jedem Gerät durchzusetzen – insbesondere wenn Mitarbeiter im Homeoffice arbeiten. Eine solide IT-Sicherheitsstrategie behandelt automatisierte Patches als unverzichtbare Grundvoraussetzung.
Erkennung von Vorfällen und 24-Stunden-Meldepflicht
NIS2 führt gestaffelte Meldepflichten für Vorfälle ein. Wenn ein „erheblicher" Sicherheitsvorfall auftritt – einer, der zu schwerwiegenden Betriebsstörungen führt oder andere Organisationen betrifft –, musst du das BSI innerhalb von 24 Stunden mit einer ersten Meldung benachrichtigen. Ein detaillierterer Bericht folgt innerhalb von 72 Stunden, und ein Abschlussbericht ist innerhalb eines Monats fällig. Das bedeutet, dass du Vorfälle überhaupt erst erkennen können musst – was eine Überwachung und Protokollierung deiner kritischen Systeme erfordert.
Sicherheit in der Lieferkette
Du bist dafür verantwortlich, die Cybersicherheitslage deiner Lieferanten und Dienstleister zu bewerten. Laut aktuellen Daten haben sich Risiken durch Dritte und die Lieferkette auf 30 % aller Sicherheitsverletzungen verdoppelt (StationX). In der Praxis bedeutet das, Lieferantenverträge auf Sicherheitsverpflichtungen zu prüfen, sicherzustellen, dass Datenverarbeitungsvereinbarungen vorliegen, und ein Verzeichnis kritischer Lieferanten zu führen.
Backup und Wiederherstellung
NIS2 verlangt eine Geschäftskontinuitätsplanung, einschließlich getesteter Backup- und Notfallwiederherstellungsprozesse. Du musst wissen, wie schnell du den Betrieb nach einem Vorfall wiederherstellen kannst. Für KMU bedeutet das in der Regel automatisierte Backups kritischer Daten, die an einem separaten Ort gespeichert werden, sowie ein dokumentiertes Wiederherstellungsverfahren, das auch tatsächlich getestet wurde.
Warum die Verantwortlichkeit der Geschäftsführung alles verändert
Hier unterscheidet sich NIS2 deutlich von den meisten Compliance-Rahmenwerken. Es macht Führungskräfte persönlich haftbar für Versäumnisse im Bereich der Cybersicherheit. Gründer und Geschäftsführer können diese Verantwortung nicht delegieren. Verstöße können Bußgelder von bis zu 10 Millionen Euro nach sich ziehen – oder bei größeren Organisationen, die als „sehr wichtig" eingestuft sind, bis zu 2 % des weltweiten Jahresumsatzes, wobei die Geschäftsführung persönlich haftet (Reed Smith).
Was bedeutet das in der Praxis? Die Geschäftsführung muss Sicherheitsmaßnahmen formell genehmigen, deren Umsetzung überwachen und regelmäßig an Cybersicherheitsschulungen teilnehmen. Entscheidungen über Zeitpläne für das Patch-Management, Backup-Strategien und Pläne zur Reaktion auf Vorfälle müssen in den Protokollen der Geschäftsleitung festgehalten werden. Wenn es in deinem Unternehmen zu einem Sicherheitsvorfall kommt und das BSI feststellt, dass sich die Führungskräfte nicht aktiv um die Sicherheits-Governance gekümmert haben, ist das – zusätzlich zum Sicherheitsversagen – auch ein Compliance-Verstoß.
Diese Klausel zur persönlichen Haftung soll genau jene Dynamik verhindern, die in KMU häufig anzutreffen ist: Sicherheitsentscheidungen werden aufgeschoben, weil „jemand anderes" sich um die IT kümmert. Gemäß NIS2 muss eine bestimmte Person die Verantwortung übernehmen – und deren Name steht im Handelsregister. Wer die Cybersicherheitslandschaft für kleine Unternehmen im Blick hat, versteht besser, warum die Regulierungsbehörden diesen Schritt für notwendig erachteten.
Wie setzt man IT-Richtlinien ohne ein eigenes IT-Team durch?
Die meisten KMU, die unter NIS2 fallen, haben weder einen CISO noch einen eigenen IT-Administrator. Der Gründer kümmert sich neben allem anderen auch um die IT – oder vielleicht übernimmt der Büroleiter, der sich gut mit Technik auskennt, diese Verantwortung. Das ist gelebte Realität, und NIS2 macht dafür keine Ausnahme.
Eine Basis schaffen: MFA, Geräteverschlüsselung, Zugriffskontrolle, Offboarding
Die gute Nachricht ist, dass viele KMU bereits einige der richtigen Tools nutzen. Wahrscheinlich habt ihr Google Workspace oder Microsoft 365. Auf euren Laptops ist die Verschlüsselung vielleicht schon aktiviert. Das Problem sind in der Regel nicht fehlende Tools, sondern die uneinheitliche Durchsetzung.
Typische Lücken im Überblick:
- MFA ist in eurer E-Mail-Plattform verfügbar, wurde aber nicht für alle Nutzer aktiviert
- Die Geräteverschlüsselung ist bei manchen Laptops eingeschaltet, bei anderen nicht – und niemand prüft das
- Ehemalige Mitarbeiter haben noch Wochen nach ihrem Ausscheiden aktive Konten
- Software-Updates werden erst installiert, wenn Mitarbeiter Lust haben, auf „Später erinnern" zu klicken
Jede dieser Lücken stellt einen NIS2-Verstoß dar. Die Richtlinie fragt nicht, ob du die Möglichkeit hast, MFA durchzusetzen, sondern ob MFA konsequent angewendet wird. Die Grundlagen einer soliden IT-Sicherheit gegen moderne Bedrohungen beginnen damit, genau diese Durchsetzungslücken zu schließen. Und sicherzustellen, dass IT-Sicherheitsmaßnahmen im gesamten Unternehmen konsequent angewendet werden, ist der Unterschied zwischen einer Richtlinie und ihrer tatsächlichen Umsetzung.
Software zur automatischen Verwaltung und Durchsetzung von IT-Richtlinien einsetzen
Für ein Unternehmen mit 50 bis 200 Mitarbeitern und ohne eigene IT-Abteilung führt der realistische Weg zur NIS2-Konformität über Automatisierung. Das manuelle Prüfen der Geräteverschlüsselung, das Nachverfolgen des Patch-Status und das Überwachen von Zugriffsberechtigungen auf Dutzenden von Geräten ist schlicht nicht skalierbar.
Managed-IT-Plattformen lösen dieses Problem, indem sie die von NIS2 geforderten technischen Kontrollen automatisieren. Auf der deeploi-Plattform läuft beispielsweise das Patch-Management im Hintergrund, die Geräteverschlüsselung wird durch Richtlinien – nicht durch bloße Hoffnung – durchgesetzt, und wenn jemand das Unternehmen verlässt, werden Konten, Gerätezugriff und Berechtigungen automatisch im Rahmen des standardmäßigen Offboarding-Prozesses entzogen. Dieser letzte Punkt entspricht direkt den NIS2-Anforderungen an die Zugriffskontrolle, und der automatisierte Onboarding- und Offboarding-Workflow erzeugt dabei gleichzeitig den Prüfpfad.
Das ist relevant, weil die Bundesregierung schätzt, dass die jährlichen Compliance-Kosten für NIS2 in der gesamten Volkswirtschaft um rund 2,3 Milliarden Euro steigen werden (Inside Privacy). Für einzelne KMU stellt sich nicht die Frage, ob Compliance etwas kostet, sondern ob man dieses Budget für manuellen Aufwand oder für Systeme ausgibt, die Kontrollen automatisch durchsetzen.
Die Pflege einer ordnungsgemäßen IT-Dokumentation ist ein weiterer Baustein. NIS2 erwartet von dir, dass du nachweist, was du umgesetzt hast – nicht nur, dass du es behauptest. Automatisierte Plattformen erstellen Prüfpfade als Standardfunktion, sodass Dokumentation zum Nebenprodukt des laufenden Betriebs wird statt zu einem eigenen Projekt.
So legst du los: eine Compliance-Checkliste für dieses Quartal
Wenn du das hier liest und feststellst, dass dein Unternehmen möglicherweise in den Geltungsbereich fällt, aber noch nicht gehandelt hat, bist du nicht allein. Bis März 2026 hatten sich nur etwa 11.500 von geschätzten 30.000 betroffenen Organisationen rechtzeitig beim BSI registriert (TogetherSecure). Und 11 % der betroffenen Organisationen wussten nicht einmal genau, was NIS2 ist (IT Security Guru).
Hier sind fünf priorisierte Schritte, die du in diesem Quartal angehen kannst:
- Anwendbarkeitsprüfung durchführen. Überprüfe, ob dein Unternehmen sowohl die Größen- als auch die Branchenschwelle erfüllt. Wenn du im Grenzbereich liegst, hol dir ein schriftliches Rechtsgutachten.
- Lückenanalyse anhand der sechs oben genannten Maßnahmen durchführen. Beantworte für jede einzelne: Haben wir das bereits umgesetzt? Ist es dokumentiert? Wird es konsequent durchgesetzt? 72 % der Cybersicherheitsexperten in der EU sagen, dass die aktuelle Bedrohungslage die größte Herausforderung seit fünf Jahren darstellt (ISC2) – Lücken heute sind also ein echtes, wachsendes Risiko.
- Beim BSI registrieren, falls noch nicht geschehen. Eine nachträgliche Registrierung ist weiterhin erforderlich, und die Unterlassung der Registrierung stellt einen eigenständigen Verstoß dar, der mit eigenen Sanktionen geahndet wird. Lass dich nicht von der Verlegenheit über die verspätete Registrierung davon abhalten, dich jetzt anzumelden.
- Technische Kontrollmaßnahmen umsetzen oder automatisieren. Beginne mit den wirkungsstärksten Maßnahmen: MFA für alle Konten durchsetzen, Geräteverschlüsselung aktivieren, automatisches Patching einrichten und den Offboarding-Prozess verbindlich festlegen.
- Alles dokumentieren und eine namentlich genannte verantwortliche Person bestimmen. NIS2 verlangt Rechenschaftspflicht auf Führungsebene: Legt fest, wer verantwortlich ist, haltet die Genehmigung der Sicherheitsmaßnahmen durch diese Person schriftlich fest und stellt sicher, dass diese Unterlagen für jede BSI-Anfrage zugänglich sind.
Teilfortschritte jetzt sind weitaus besser als ein perfekter Plan, den du erst „nächstes Quartal" umsetzt. Compliance ist ein nachweisbarer Zustand, und jede Kontrollmaßnahme, die du heute einführst, verringert sowohl dein Risiko als auch deine regulatorische Belastung. Der Marktdruck unterstreicht das: 42 % der betroffenen Unternehmen wurden bereits von Partnern aufgefordert, ihre NIS2-Konformität nachzuweisen, 41 % von Investoren und 36 % von Kunden (IT Security Guru).
FAQ
Ist NIS2 dasselbe wie ISO 27001?
Beides hängt zusammen, unterscheidet sich aber grundlegend. NIS2 ist eine gesetzliche Verpflichtung; ISO 27001 ist ein freiwilliger Zertifizierungsstandard. Allerdings erfüllen Unternehmen, die über ISO 27001 oder gleichwertige Cybersicherheitsprogramme verfügen, voraussichtlich etwa 70 bis 80 % der grundlegenden IT-Sicherheitsanforderungen von NIS2 (Reed Smith). Die verbleibenden 20 bis 30 % betreffen NIS2-spezifische Pflichten: BSI-Registrierung, gestaffelte Fristen für die Vorfallmeldung und kodifizierte Verantwortlichkeiten des Managements. Wer bereits nach ISO 27001 zertifiziert ist, erfährt durch eine strukturierte Lückenanalyse genau, was noch fehlt.
Was passiert, wenn mein Unternehmen in den Geltungsbereich fällt, aber noch nicht konform ist?
Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Organisationen betragen, die als „sehr wichtig" eingestuft werden. Über finanzielle Sanktionen hinaus kann das BSI verbindliche Anordnungen erlassen, die konkrete Abhilfemaßnahmen vorschreiben. Am schwerwiegendsten ist jedoch die persönliche Haftung der Geschäftsführer. Das Ziel der Aufsichtsbehörde ist es, sicherzustellen, dass die Führung Verantwortung übernimmt – nicht nur, Bußgelder einzutreiben.
Muss ich jeden Sicherheitsvorfall innerhalb von 24 Stunden melden?
Nur „erhebliche" Vorfälle lösen die Meldepflicht aus. Das sind Vorfälle, die zu schwerwiegenden Betriebsstörungen führen, andere Organisationen betreffen oder zu erheblichen finanziellen Schäden oder Reputationsschäden führen könnten. Tritt ein solcher Vorfall ein, reichst du innerhalb von 24 Stunden eine Erstmeldung beim BSI ein, innerhalb von 72 Stunden einen detaillierten Zwischenbericht und innerhalb eines Monats einen Abschlussbericht. Routinemäßige Sicherheitsereignisse – eine blockierte Phishing-E-Mail, ein fehlgeschlagener Anmeldeversuch – müssen nicht offiziell gemeldet werden.
Kann ein Managed-IT-Anbieter die NIS2-Compliance für uns übernehmen?
Technische Maßnahmen: ja. Rechenschaftspflicht: nein. Eine Managed-IT-Plattform kann das Patch-Management automatisieren, MFA durchsetzen, die Geräteverschlüsselung verwalten und das sichere Offboarding abwickeln. Das sind die operativen Bausteine der Compliance. Die rechtliche Verantwortung, die Risikobewertungen, die dokumentierten Genehmigungen und die Schulungspflichten für das Management liegen jedoch weiterhin bei der Unternehmensleitung. Stell dir das so vor: Du lagerst den Motor aus, behältst aber selbst die Hände am Lenkrad.
Wie hängt NIS2 mit der DSGVO zusammen?
Die DSGVO schützt personenbezogene Daten. NIS2 schützt Netzwerk- und Informationssysteme in einem weiteren Sinne. Beide überschneiden sich in Bereichen wie der Meldung von Vorfällen (die DSGVO hat ihre eigene 72-Stunden-Meldepflicht bei Datenschutzverletzungen) und der Zugriffskontrolle. Doch NIS2 geht weiter: Es fordert Sicherheit in der Lieferkette, Geschäftskontinuitätsplanung und die Verantwortlichkeit des Managements für Cybersicherheit insgesamt – nicht nur für den Datenschutz. Die Einhaltung der einen Verpflichtung bedeutet nicht automatisch die Einhaltung der anderen, auch wenn die umgesetzten Kontrollmaßnahmen häufig beiden zugutekommen.
Fang mit dem an, was du kontrollieren kannst
NIS2-Konformität ist für KMU erreichbar. Dazu braucht es weder ein zehnköpfiges Sicherheitsteam noch ein sechsstelliges Beratungsmandat. Es erfordert klare Prioritäten, die konsequente Umsetzung einer Handvoll zentraler technischer Kontrollmaßnahmen und eine Führungsebene, die dokumentiert die Verantwortung für Sicherheitsentscheidungen übernimmt.
Die Kluft zwischen „NIS2 kennen" und „NIS2 einhalten" ist größtenteils eine Frage der Umsetzung. Wer diese Fragen mit Ja beantworten kann, ist schon weiter als die meisten: Sind die Geräte verschlüsselt? Wird MFA durchgesetzt? Werden Patches automatisch eingespielt? Werden die Konten ehemaliger Mitarbeiter an deren letztem Arbeitstag gesperrt? Ist schriftlich eine verantwortliche Person benannt?
Wenn du dir unsicher bist, wo deine aktuelle IT-Infrastruktur im Hinblick auf die Maßnahmen gemäß Artikel 21 der NIS2 steht, bietet deeploi eine kostenlose Beratung an, um deine Kontrollmaßnahmen zu erfassen und festzustellen, was sofort automatisiert werden kann. Der beste Zeitpunkt zum Starten war Dezember 2025. Der zweitbeste Zeitpunkt ist heute.










